ISO 27001 und ISO 27701: Wo Informationssicherheit endet und Datenschutz beginnt

Ein Softwareunternehmen aus Izmir bestand sein ISO 27001-Audit, rahmte das Zertifikat und gewann damit die Ausschreibung eines deutschen Großkunden. Drei Monate später schickte derselbe Käufer einen Fragebogen zur Datenverarbeitung, den das Zertifikat nicht beantworten konnte: Wie werden personenbezogene Daten klassifiziert, wer sind die betroffenen Personen, welche Rechtsgrundlage hat jede einzelne Verarbeitung. Das Informationssicherheits-Managementsystem war solide. Was fehlte, war das Datenschutzmanagement. Genau hier verläuft die Grenze zwischen ISO 27001 und ISO 27701, und die meisten Unternehmen sehen sie erst, wenn ein Kunde sie zieht.

ISO 27001 und ISO 27701 werden oft als Alternativen dargestellt. Das sind sie nicht. Die eine ist eine eigenständig zertifizierbare Norm für Informationssicherheit. Die andere ist eine Erweiterung, die nur auf ihr existiert. Wer beide als Wahl zwischen zwei Produkten liest, kauft das Falsche. Die eigentliche Frage lautet nicht welche von beiden, sondern ob Ihr Sicherheitssystem eine Datenschutzebene braucht, und wann.

Was jede Norm tatsächlich regelt

ISO 27001 legt ein Informationssicherheits-Managementsystem fest, ein ISMS. Seine Aufgabe ist es, Informationswerte jeder Art gegen den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Kundendaten, Quellcode, Finanzdaten, Verträge, geistiges Eigentum: Das ISMS behandelt sie alle als Werte, die einer Risikobewertung unterzogen und kontrolliert werden. Die Norm sagt fast nichts darüber, ob ein Wert personenbezogene Daten enthält oder was einer betroffenen Person zusteht. Sie schützt den Wert. Sie fragt nicht, wessen Daten es sind.

ISO 27701 nimmt dasselbe Managementsystem und ergänzt es um eine Datenschutzperspektive. Formal ist sie eine Erweiterung von ISO 27001 (und ISO 27002), die ein Datenschutz-Managementsystem aufbaut, ein PIMS. Sie führt die Begriffe ein, die der Sicherheitsnorm fehlen: personenbezogene Daten, Verantwortlicher, Auftragsverarbeiter, betroffene Person, Rechtsgrundlage, Aufbewahrungsfristen und die Rechte des Einzelnen. Wo ISO 27001 fragt, wie wir diesen Wert schützen, fragt ISO 27701, wessen personenbezogene Daten dies sind, warum wir sie aufbewahren und welche Pflichten daraus folgen. Als Einstieg in die Sicherheits-Basisebene legt unsere Seite zur ISO 27001-Zertifizierung den Geltungsbereich des ISMS im Detail dar.

Warum ISO 27701 nicht allein bestehen kann

Das ist die wichtigste Tatsache des Vergleichs und der Punkt, der bei einer schnellen Websuche am häufigsten übersehen wird. Sie können sich nicht allein nach ISO 27701 zertifizieren lassen. Die Norm ist als Satz zusätzlicher und geänderter Anforderungen geschrieben, die an ein funktionierendes ISMS andocken. Ohne ein ISO 27001-Fundament darunter gibt es kein ISO 27701-Zertifikat. In der Praxis wird die Datenschutzerweiterung Ihrem bestehenden Sicherheits-Geltungsbereich hinzugefügt, und das Audit deckt beide zugleich ab.

Diese Abhängigkeit klärt die Reihenfolgefrage, an der die meiste Planung scheitert. Sie wägen ISO 27001 nicht gegen ISO 27701 ab und wählen eine. Sie bauen zuerst das ISMS, zertifizieren es und entscheiden dann, ob Sie es erweitern. Wenn Sie bei null beginnen und bereits wissen, dass Datenschutz im Geltungsbereich liegt, können Sie beide gemeinsam aufbauen und in einer einzigen Bewertung zertifizieren, doch das Sicherheitssystem bleibt die tragende Struktur.

Wer die Datenschutzerweiterung wirklich braucht

Nicht jede zertifizierte Organisation braucht ISO 27701. Ein ISMS, dessen Geltungsbereich überwiegend aus betriebseigenen und operativen Daten besteht und nur wenige personenbezogene Daten enthält, zieht aus einem PIMS begrenzten Zusatznutzen. Die Erweiterung verdient ihren Platz, wenn personenbezogene Daten im Zentrum dessen stehen, was Sie tun oder verkaufen.

• Organisationen, die personenbezogene Daten als Kerngeschäft in großem Umfang verarbeiten: Marketingplattformen, Personal- und Lohnabrechnungsdienstleister, Gesundheitstechnologie, Finanztechnologie, Werbetechnologie.
• Auftragsverarbeiter, die personenbezogene Daten im Auftrag von Geschäftskunden verarbeiten, bei denen die DSGVO- oder KVKK-Rechenschaftspflicht des Käufers über Verträge weitergereicht wird.
• Exporteure, die in die EU verkaufen oder mit betroffenen Personen in der EU arbeiten und in jeder ernsthaften Beschaffung eine Datenschutzprüfung durchlaufen.
• Unternehmen, die zugleich Verantwortlicher und Auftragsverarbeiter sind und nachweisen müssen, dass sie beide Rollen getrennt und dokumentiert haben.

Trifft das auf Ihr Unternehmen zu, ist die Datenschutzerweiterung kommerziell nicht mehr optional, auch wenn sie regulatorisch freiwillig bleibt. Käufer verlangen sie zunehmend namentlich, und ein PIMS-Zertifikat beantwortet einen Datenschutzfragebogen weit schneller als ein Ordner voller Richtlinien. Für die größere Familie von Systemnormen, die ein digitales Unternehmen üblicherweise kombiniert, zeigt unser Überblick zur Systemzertifizierung, wie sie zusammenpassen.

Die Rollentrennung zwischen Verantwortlichem und Auftragsverarbeiter, zu der ISO 27701 Sie zwingt

Der deutlichste praktische Unterschied zwischen beiden Normen zeigt sich darin, wie sie Ihre Rolle in einem Datenfluss behandeln. ISO 27001 ist es gleichgültig, ob Sie entscheiden, warum Daten erhoben werden, oder sie nur für jemand anderen speichern. ISO 27701 macht genau diese Unterscheidung zum Rückgrat des gesamten Datenschutzsystems. Sie teilt ihre Anforderungen in zwei Stränge: Pflichten, die gelten, wenn Sie Verantwortlicher sind und über Zweck und Mittel der Verarbeitung entscheiden, und Pflichten, die gelten, wenn Sie Auftragsverarbeiter sind und auf Weisung eines Kunden handeln. Viele Unternehmen sind beides zugleich, Verantwortlicher für die eigenen Personal- und Marketingdaten, Auftragsverarbeiter für die gehosteten Kundendaten, und die Norm verlangt, dass Sie jede Rolle getrennt dokumentieren.

Genau hier scheitert ein reines Sicherheitszertifikat in einer Beschaffungsprüfung still und leise. Ein Großkunde, der sein eigenes Rechenschaftsprogramm betreibt, muss wissen, welche Ihrer Datenaktivitäten Sie nach seinen Verträgen zum Auftragsverarbeiter machen und welche Garantien daraus folgen. Die ISMS-Geltungsbereichserklärung enthält diese Information nicht. Die PIMS-Erklärung enthält sie. Wenn Sie ein ISO 27001-System um ISO 27701 erweitern, müssen Sie für jede Verarbeitung festhalten, wer verantwortlich ist, auf welcher Rechtsgrundlage sie beruht und wie lange die Daten aufbewahrt werden. Diese eine Disziplin ist oft der eigentliche Grund, warum ein Käufer das Zertifikat überhaupt verlangt hat.

Wie beide Zertifikate auf dem Papier aufeinander aufbauen

Wenn Sie ein ISMS um ein PIMS erweitern, erhalten Sie nicht zwei getrennte Zertifikate aus zwei getrennten Verfahren. Sie halten ein ISO 27001-Zertifikat für das Sicherheitssystem und eine ISO 27701-Bestätigung, dass dasselbe System auch die Datenschutzanforderungen erfüllt. Der Geltungsbereich wird einmal festgelegt und einmal bewertet, wobei die Datenschutzkontrollen in dasselbe Auditprogramm eingebettet werden. Praktisch heißt das: Gap-Analyse, internes Audit sowie das Stufe-1- und Stufe-2-Audit weiten sich alle auf den Datenschutz aus, statt als zweites Projekt zu laufen. Unsere ISO 27001-Systemzertifizierung trägt die Sicherheitsbasis, und die Datenschutzerweiterung wird darauf aufgesetzt.

Wo ISO 27701 das Datenschutzrecht trifft und wo nicht

ISO 27701 wurde so gestaltet, dass sie sich auf das Datenschutzrecht abbilden lässt, und ihre Anhänge verweisen direkt auf Artikel der DSGVO. Das Zertifikat zu halten, ist ein starker Nachweis für einen strukturierten, auditierten Datenschutzansatz, und es trägt einen Großteil der Rechenschaftslast nach DSGVO und nach dem türkischen Datenschutzgesetz KVKK (Gesetz Nr. 6698). Doch ein Zertifikat ist kein rechtliches Konformitätsurteil. Ein Auditor bestätigt, dass Ihr PIMS die Norm erfüllt. Ob Sie das Gesetz erfüllen, entscheidet eine Aufsichtsbehörde. Beide überschneiden sich stark, und das Zertifikat erleichtert die rechtliche Argumentation, doch es ist nicht dasselbe Instrument.

Für türkische Organisationen lautet die praktische Lesart: ISO 27701 liefert das Managementsystem-Gerüst, auf dem die KVKK-Pflichten bequem sitzen, doch Sie brauchen weiterhin eine lokale rechtliche Zuordnung, um zu bestätigen, dass jede Pflicht erfüllt ist. Unsere KVKK-Beratung übernimmt diese Zuordnung, damit das zertifizierte PIMS und Ihre gesetzlichen Pflichten sich nicht nur ähneln, sondern genau zusammenpassen.

Drei Fehldeutungen, die Zeit und Budget kosten

Die erste Fehldeutung behandelt ISO 27701 als reicheren oder neueren Ersatz für ISO 27001. Sie ersetzt nichts. Geben Sie das Sicherheitszertifikat auf, fällt das Datenschutzzertifikat mit ihm, denn die Datenschutzanforderungen sind als Abweichungen gegenüber der Sicherheitsbasis formuliert. Die zweite nimmt an, die Erweiterung sei ein kleiner Zusatz, den jede 27001-zertifizierte Firma in einer Woche aufgreift. Die Datenschutzkontrollen reichen in Rechts-, Personal- und Produktteams hinein, die das Sicherheitsprojekt vielleicht nie berührt hat, und ein ernsthaftes Verarbeitungsverzeichnis aufzubauen kostet echten Aufwand. Die dritte glaubt, das Zertifikat beende Ihre rechtliche Haftung. Das tut es nicht. Es stärkt Ihre Position, belegt die Sorgfaltspflicht und verkürzt Audits, doch die Pflicht, KVKK und DSGVO einzuhalten, bleibt bei Ihnen, gleich welches Zertifikat an der Wand hängt.

Wer beide Normen richtig liest, plant Budget und Personal anders. Eine Firma, die die Abhängigkeit versteht, baut das ISMS einmal auf, fasst den Geltungsbereich großzügig und erweitert in den Datenschutz, sobald der kommerzielle Anlass eintritt, statt das System später wieder aufzureißen. Eine Firma, die beide als Menü behandelt, zahlt zweimal.

Ihren Weg wählen

Besteht Ihr Geltungsbereich überwiegend aus nicht personenbezogenen Informationen und stellen Ihre Käufer keine Datenschutzfragen, ist ISO 27001 allein eine vollständige und vertretbare Position. Stehen personenbezogene Daten im Zentrum Ihres Produkts, reichen Ihre Kunden ihre Rechenschaftspflicht an Sie weiter oder verkaufen Sie in die EU, planen Sie die Datenschutzerweiterung von Anfang an und bauen Sie das ISMS mit Blick auf ein PIMS. In beiden Fällen ist die Reihenfolge festgelegt: Das Sicherheits-Managementsystem ist das Fundament, und ISO 27701 ist die Datenschutzebene, die Sie hinzufügen, sobald die Daten in Ihrer Hand den Datenschutz zu einem erstrangigen Risiko machen statt zu einer Fußnote.